Bagaimana Kata Sandi Dicuri (dan 10 Langkah Sederhana untuk Menjaga Mereka Tetap Aman)
Diterbitkan: 2022-03-15
“RockYou2021: kompilasi kata sandi terbesar sepanjang masa bocor secara online dengan 8,4 miliar entri”
“Polisi menemukan 225 juta kata sandi curian yang disembunyikan di server cloud yang diretas”
Berita utama ini sayangnya bukan hal baru. Bahaya password Anda bocor/dicuri sekarang sudah dikenal luas. Para ahli teknologi telah mengembangkan dan menguji alat yang pada akhirnya akan menggantikan penggunaan kata sandi, tetapi transisi tersebut diperkirakan tidak akan sepenuhnya diterapkan dalam waktu dekat.
Sebagian besar situs web dan aplikasi tidak mengizinkan otentikasi melalui data biometrik, artinya pengguna kami masih terbatas untuk menggunakan kata sandi sederhana. Kenyataannya adalah banyak orang masih tidak menggunakan pengelola kata sandi dan menggunakan kembali kata sandi yang sama di beberapa situs web dan aplikasi, termasuk yang penting seperti perbankan online.
Ini berarti bahwa mengambil tindakan pencegahan untuk melindungi kata sandi Anda (sekali lagi, kecuali Anda menggunakan pengelola kata sandi) tidak kurang dari keharusan jika Anda ingin melindungi aset Anda.
Namun, sebelum kita pergi ke sana, mungkin yang terbaik adalah melihat bagaimana kebocoran/pencurian data terjadi, karena memahami prosesnya mungkin memainkan peran besar dalam mencegahnya.
Bagaimana Kata Sandi Diretas dan Dicuri
Mereka mungkin mengklaim mewakili perusahaan yang dengannya target mereka melakukan bisnis. Mereka sering menyamar sebagai pejabat pemerintah termasuk aparat penegak hukum, agen pajak, dan pegawai Administrasi Jaminan Sosial. Terkadang mereka mengaku menelepon atas nama anggota keluarga atau teman target mereka.
Penjahat ini akan mencoba dan menyampaikan rasa urgensi, bahkan mungkin mengancam target mereka dengan penangkapan atau kehilangan akses ke manfaat, jika mereka gagal untuk bertindak segera dengan memberikan informasi yang mereka minta.
Kredensial ini dimuat ke dalam aplikasi yang dengan cepat mengujinya terhadap sejumlah besar situs yang berharap menemukan kecocokan dan mendapatkan akses. Ada ratusan juta jenis serangan ini yang dicatat setiap tahun.
Aplikasi dan fungsi yang mencuri kredensial sebenarnya bisa menjadi keyloggers, paket malware yang merekam tidak hanya kata sandi Anda tetapi semua penekanan tombol Anda dan kemudian mengirimkannya ke pelaku yang jahat.
Malware pencuri kredensial juga dapat dibangun ke dalam situs yang dirancang agar terlihat seperti milik entitas yang bereputasi baik. Misalnya, penyerang dapat mengirim pesan phishing yang mengklaim bahwa aktivitas mencurigakan telah diamati di rekening bank target dan bahwa target harus masuk ke akunnya untuk segera mengubah kata sandi.
Korban mengklik tautan dalam pesan dan dibawa ke situs bank yang terlihat sah di mana dia diperintahkan untuk memasukkan kredensial masuk untuk memulai proses pengaturan ulang kata sandi. Melakukannya memberikan penyerang dengan kredensial rekening bank korban.
Beberapa situs mirip-mirip jahat dibuat dengan harapan bahwa orang-orang acak akan secara tidak sengaja mendarat di sana dan ditipu dari nama pengguna dan kata sandi mereka.
Versi teknologi tinggi dari ini adalah serangan man-in-the-middle. Jaringan Wi-Fi publik sering dikunjungi oleh penyerang yang menggunakan alat yang tersedia untuk memantau lalu lintas jaringan dan mencuri data sensitif, termasuk kredensial login akun, dari mereka yang menggunakan jaringan tersebut.
Terkadang penjahat dunia maya akan membuat jaringan Wi-Fi publik mereka sendiri yang dirancang agar tampak seolah-olah mereka adalah bisnis yang sah, satu-satunya tujuan adalah untuk mencuri data pengguna. Jaringan Wi-Fi publik pada dasarnya tidak aman.
Faktanya, jumlah kata sandi yang digunakan terus meningkat, begitu pula jumlah penyerang di luar sana yang secara aktif mencoba mencurinya. Perlindungan kata sandi harus diperhatikan dengan serius, jadi lanjutkan dan terapkan sebanyak mungkin tips ini.
“Polisi menemukan 225 juta kata sandi curian yang disembunyikan di server cloud yang diretas”
Berita utama ini sayangnya bukan hal baru. Bahaya password Anda bocor/dicuri sekarang sudah dikenal luas. Para ahli teknologi telah mengembangkan dan menguji alat yang pada akhirnya akan menggantikan penggunaan kata sandi, tetapi transisi tersebut diperkirakan tidak akan sepenuhnya diterapkan dalam waktu dekat.
Sebagian besar situs web dan aplikasi tidak mengizinkan otentikasi melalui data biometrik, artinya pengguna kami masih terbatas untuk menggunakan kata sandi sederhana. Kenyataannya adalah banyak orang masih tidak menggunakan pengelola kata sandi dan menggunakan kembali kata sandi yang sama di beberapa situs web dan aplikasi, termasuk yang penting seperti perbankan online.
Ini berarti bahwa mengambil tindakan pencegahan untuk melindungi kata sandi Anda (sekali lagi, kecuali Anda menggunakan pengelola kata sandi) tidak kurang dari keharusan jika Anda ingin melindungi aset Anda.
Namun, sebelum kita pergi ke sana, mungkin yang terbaik adalah melihat bagaimana kebocoran/pencurian data terjadi, karena memahami prosesnya mungkin memainkan peran besar dalam mencegahnya.
Bagaimana Kata Sandi Diretas dan Dicuri 
Menebak - metode paling sederhana
Pada tahun 2020, tiga kata sandi yang paling umum digunakan adalah "123456", "123456789", dan "sandi". Ketika dicari menggunakan alat yang tersedia di HaveIBeenPwned (pasti patut dikunjungi), ditemukan bahwa kata sandi ini muncul puluhan juta kali selama pemindaian data yang dilanggar. Berikut hasil pelaporan per Januari 2022:- 123456 - 37.359.195 penampilan
- 123456789 - 16.629.796 penampilan
- kata sandi - 9.545.824 penampilan
Phishing dan varian serangan rekayasa sosial lainnya
Penjahat dunia maya sering kali langsung menghubungi targetnya melalui telepon (vishing), email (phishing), pesan teks (smishing), atau melalui akun media sosial. Dalam serangan ini, penipu biasanya menyamar sebagai orang lain untuk meyakinkan korbannya agar memberikan informasi sensitif seperti kredensial login.Mereka mungkin mengklaim mewakili perusahaan yang dengannya target mereka melakukan bisnis. Mereka sering menyamar sebagai pejabat pemerintah termasuk aparat penegak hukum, agen pajak, dan pegawai Administrasi Jaminan Sosial. Terkadang mereka mengaku menelepon atas nama anggota keluarga atau teman target mereka.
Penjahat ini akan mencoba dan menyampaikan rasa urgensi, bahkan mungkin mengancam target mereka dengan penangkapan atau kehilangan akses ke manfaat, jika mereka gagal untuk bertindak segera dengan memberikan informasi yang mereka minta.
Brute force dan serangan isian
Seperti disebutkan, peretas memiliki alat yang tersedia yang dapat dengan cepat menghasilkan kata sandi acak dan mengujinya untuk menentukan apakah mereka akan memberikan akses ke akun yang ditargetkan. Stuffing, yang merupakan variasi dari brute-forcing, melibatkan penggunaan kredensial yang dicuri sebelumnya yang terungkap dalam pelanggaran dan tersedia untuk penjahat melalui Dark Web.Kredensial ini dimuat ke dalam aplikasi yang dengan cepat mengujinya terhadap sejumlah besar situs yang berharap menemukan kecocokan dan mendapatkan akses. Ada ratusan juta jenis serangan ini yang dicatat setiap tahun.
Malware pencuri kredensial
Perangkat Anda dapat terinfeksi malware pencuri kredensial saat Anda mengklik tautan berbahaya dalam email phishing, membuka lampiran email yang terinfeksi, secara tidak sengaja mengunjungi situs web penyerang, atau menginstal aplikasi yang tidak berasal dari sumber yang memiliki reputasi baik.Aplikasi dan fungsi yang mencuri kredensial sebenarnya bisa menjadi keyloggers, paket malware yang merekam tidak hanya kata sandi Anda tetapi semua penekanan tombol Anda dan kemudian mengirimkannya ke pelaku yang jahat.
Malware pencuri kredensial juga dapat dibangun ke dalam situs yang dirancang agar terlihat seperti milik entitas yang bereputasi baik. Misalnya, penyerang dapat mengirim pesan phishing yang mengklaim bahwa aktivitas mencurigakan telah diamati di rekening bank target dan bahwa target harus masuk ke akunnya untuk segera mengubah kata sandi.
Korban mengklik tautan dalam pesan dan dibawa ke situs bank yang terlihat sah di mana dia diperintahkan untuk memasukkan kredensial masuk untuk memulai proses pengaturan ulang kata sandi. Melakukannya memberikan penyerang dengan kredensial rekening bank korban.
Beberapa situs mirip-mirip jahat dibuat dengan harapan bahwa orang-orang acak akan secara tidak sengaja mendarat di sana dan ditipu dari nama pengguna dan kata sandi mereka.
Selancar bahu dan serangan man-in-the-middle
Istilah "selancar bahu" menggambarkan taktik melihat dari balik bahu seseorang untuk mengamati apa yang ada di layar komputer atau perangkat mereka dan mencoba menemukan kata sandi atau informasi sensitif lainnya.Versi teknologi tinggi dari ini adalah serangan man-in-the-middle. Jaringan Wi-Fi publik sering dikunjungi oleh penyerang yang menggunakan alat yang tersedia untuk memantau lalu lintas jaringan dan mencuri data sensitif, termasuk kredensial login akun, dari mereka yang menggunakan jaringan tersebut.
Terkadang penjahat dunia maya akan membuat jaringan Wi-Fi publik mereka sendiri yang dirancang agar tampak seolah-olah mereka adalah bisnis yang sah, satu-satunya tujuan adalah untuk mencuri data pengguna. Jaringan Wi-Fi publik pada dasarnya tidak aman.
Cara Melindungi Kata Sandi Saya dari Peretasan dalam 10 Langkah Sederhana
Berikut adalah strategi yang dapat Anda terapkan dengan mudah untuk melindungi kata sandi, akun, dan informasi sensitif Anda:- Aturan dasar: Dapatkan pengelola kata sandi/vault. Ini adalah aplikasi yang dirancang khusus untuk menjaga keamanan kata sandi Anda. Dengan mereka, yang harus Anda lakukan hanyalah mengingat satu kata sandi utama (masih mengikuti aturan di bawah!)
- Jangan sertakan kata-kata yang sebenarnya. Jika memungkinkan, buat kata-kata Anda sendiri yang kecil kemungkinannya untuk “ditebak” (misalnya “Radamabla”)
- Jangan gunakan tanggal lahir dan data lain yang mudah diidentifikasi tentang diri Anda (misalnya nama belakang)
- Jangan gunakan kata sandi yang lemah (sederhana). Kata sandi Anda harus panjang, rumit, dan menyertakan huruf besar dan kecil, angka, dan karakter khusus.
- Gunakan kata sandi yang berbeda untuk setiap akun Anda. Jika satu akun disusupi, akun lain tidak akan berada dalam bahaya karena penggunaan kredensial yang sama (terutama jangan ulangi kata sandi pada akun email dan akun keuangan)
- Gunakan 2FA (otentikasi dua faktor) di mana pun tersedia. Ini menambahkan komponen lain ke proses login. Dalam kebanyakan kasus, ini adalah PIN yang dikirim ke perangkat Anda melalui teks atau email. Jika penyerang dapat mencuri kredensial login Anda, mereka tetap tidak dapat menyelesaikan login tanpa faktor tambahan ini.
- Kecuali Anda yakin dapat memercayai sumber email, teks, atau pesan media sosial dan terutama jika ada sesuatu yang tidak biasa atau mencurigakan tentang pesan tersebut, Anda harus menghindari membuka lampiran apa pun atau mengklik tautan apa pun yang disertakan.
- Saat Anda mengunjungi situs web, pastikan mereka menggunakan HTTPS. Gembok terkunci akan ditampilkan di sebelah kiri URL situs di bagian atas browser Anda yang menunjukkan penggunaan protokol keamanan ini. Beberapa penjahat sekarang mulai menggunakan HTTPS di situs mereka sehingga metode ini tidak 100% efektif dalam melindungi informasi Anda dari scammers, tetapi mengikuti rekomendasi ini akan membantu Anda menghindari situs jahat.
- Pastikan sistem operasi pada perangkat Anda mutakhir dan disetel untuk mengunduh dan menginstal pembaruan secara otomatis. Juga, pastikan semua perangkat Anda menjalankan aplikasi anti-malware/antivirus.
- Hindari menggunakan Wi-Fi publik kecuali perangkat Anda juga dilengkapi dengan aplikasi jaringan pribadi virtual (VPN) dan aplikasi tersebut sedang digunakan. VPN mengenkripsi data yang bepergian ke dan dari perangkat Anda. Bahkan jika dicegat oleh aktor yang buruk, data tidak dapat didekodekan dan dibaca. Jika Anda tidak memiliki VPN dan Anda harus menggunakan Wi-Fi publik, hindari masuk ke akun apa pun atau mengirim informasi sensitif apa pun melalui layanan perpesanan.
Pikiran terakhir
Selama lebih dari sepuluh tahun, publikasi teknologi telah memperkirakan akhir kata sandi, tetapi masih ada di sini.Faktanya, jumlah kata sandi yang digunakan terus meningkat, begitu pula jumlah penyerang di luar sana yang secara aktif mencoba mencurinya. Perlindungan kata sandi harus diperhatikan dengan serius, jadi lanjutkan dan terapkan sebanyak mungkin tips ini.